Wie beeinflusst die Datenschutz-Grundverordnung (DSGVO) die Nutzung Künstlicher Intelligenz?
Die Grundsätze der DSGVO sind immer dann zu berücksichtigen, wenn Daten mit Personenbezug verarbeitet werden (z. B. Name, Anschrift, Kontaktdaten, Geburtsdaten, ärztliche Diagnosen, allgemeine äußerliche Merkmale, aber auch Kfz-Kennzeichen oder IP-Adressen). Da dies sehr weitgehend zu verstehen ist, sollte man das Datenschutzrecht immer mitdenken.
Tipp
Sonderregelung für sensible Daten
Auch dann, wenn im Einzelfall kein Personenbezug anzunehmen ist, kann es sich um sensible Daten handeln, z. B. Geschäftsgeheimnisse. Diese unterliegen eigenen gesetzlichen Regelungen, insbesondere dem Geschäftsgeheimnisgesetz (GeschGehG).
Leser-Umfrage zum Einsatz von ChatGPT und anderen KI-Tools
Künstliche Intelligenz und Datenschutz: KI-Systeme zur Verarbeitung personenbezogener Daten
Wenn du in deinem Unternehmen KI-Tools nutzen möchtest, stehst du beim Schutz von personenbezogenen Daten vor einigen Herausforderungen.
KI und Datenschutz: Der Arbeitsvertrag
Wenn du etwa Name, Anschrift und Geburtsdatum eines neuen Mitarbeiters in ein KI-Anwendung wie z. B. ChatGPT von OpenAI eingibst, um dir einen Arbeitsvertrag erstellen zu lassen, erhältst du zwar einen professionell aussehenden Vertragstext. Du kannst dir aber einerseits nicht sicher sein, ob die KI die aktuelle Rechtslage wiedergibt. Andererseits müsste es eine Rechtsgrundlage geben, damit du die Mitarbeiterdaten überhaupt in die KI eingeben darfst. Im Zweifel benötigst du hierzu die (vorherige) Einwilligung der betreffenden Person, was im Rahmen eines arbeitsrechtlichen Über-Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer leider nicht ganz so einfach ist. Insbesondere ist darauf hinzuweisen, dass die Einwilligungserklärung jederzeit ohne Angabe von Gründen und ohne etwaige Nachteile frei widerrufen werden kann.
Wenn das genutzte KI-Tool aus einem sog. unsicheren Drittstaat außerhalb der EU stammt, also etwa aus China oder den USA, dann muss dies zusätzlich legitimiert sein. Du müsstest dazu im Vorfeld spezielle Verträge mit dem KI-Anbieter abschließen und noch weitere Voraussetzungen erfüllen. Diesen nicht unerheblichen Aufwand wird nicht jedes Unternehmen und auch nicht jeder KI-Anbieter auf sich nehmen.
Tipp
Bei KI-Tools mit Platzhaltern arbeiten
Wenn du also etwa einen Arbeitsvertrag per KI erstellen lässt, dann nutzt du dazu Fantasie- oder Platzhalter-Daten, auf keinen Fall die echten Daten des Angestellten. So entgehst du rechtlichen Gefahren hinsichtlich der KI beim Datenschutz. Zudem solltest du den Vertrag immer von einem entsprechend spezialisierten Anwalt prüfen lassen.
KI und Datenschutz: Das Verzeichnis von Verarbeitungstätigkeiten (VVT)
Wenn du personenbezogene Daten verarbeitest, sei es mit oder ohne KI-Unterstützung, musst du dies in nachvollziehbarer Weise dokumentieren, insbesondere im Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Beabsichtigst du, KI-Anwendungen geschäftlich einzusetzen und darin jedenfalls auch personenbezogene Daten zu verarbeiten, dann musst du dies entsprechend in dein VVT aufnehmen. Leider gestaltet sich diese Dokumentation recht schwierig, da du nicht genau durchblicken kannst, wie, wozu, wo und wie lange die Daten auf den Servern des KI-Anbieters verarbeitet werden.
Tipp
Pflichtangaben nach Anforderungen der DSGVO
Nach Art. 13, 14 DSGVO bist du dazu verpflichtet, proaktiv bestimmte Pflichtangaben bereitzustellen (z. B. deine Anschrift und Kontaktdaten, die Zwecke oder die Rechtsgrundlage der Verarbeitung). Dies gilt auch in Bezug auf Datenschutz bei KI-Tools. Und auch hier fehlen dir in aller Regel die betreffenden Informationen.
KI und Datenschutz: Die Datenschutz-Folgenabschätzung (DSFA)
Hinzu kommt, dass du im Rahmen der geschäftlichen Nutzung von KI-Anwendung ggf. eine sog. Datenschutz-Folgenabschätzung (DSFA) vornehmen musst (Art. 35 DSGVO). Dies gilt jedenfalls dann, wenn mit der geplanten Datenverarbeitung voraussichtlich ein hohes Risiko verbunden ist.
Der Begriff „Risiko“ meint hier nicht dein unternehmerisches Risiko als Nutzer der Software, sondern das Risiko für die Menschen, deren Daten verarbeitet werden (wie z. B. Diskriminierung, Identitätsdiebstahl, Rufschädigung etc.).
Die DSFA ist ein spezielles Verfahren, bei dessen Durchführung du etwaige Risiken identifizieren, bewerten und nach Möglichkeit technische oder organisatorische Maßnahmen zur Risikoreduzierung festlegen musst. Am Ende einer solchen DSFA steht dann entweder das Ergebnis, dass zumindest kein hohes Risiko mehr besteht, oder dass das Risiko nicht in ausreichender Weise reduziert werden konnte. Im letzteren Fall musst du dich dann an die für dich zuständige Aufsichtsbehörde wenden und um deren Stellungnahme bitten, bevor du die Datenverarbeitung ein- bzw. weiterführst.
Tipp
Risiken für den Datenschutz richtig einschätzen
Die Bewertung, ob ein Risiko besteht und ob dieses als „hoch“ im Sinne von Art. 35 Abs. 1 DSGVO einzustufen ist, obliegt dir als datenschutzrechtlich verantwortliche Stelle. Um dir bei dieser Entscheidung zu helfen, stellen die Datenschutzaufsichtsbehörden sog. „Muss-Listen“ gemäß Art. 35 Abs. 4 DSGVO bereit; diese Liste steht z. B. auf der Website des Bundesdatenschutzbeauftragten zum kostenfreien Download bereit. Auf ihr werden solche Arten von Datenverarbeitungen aufgeführt, die potenziell hohe Risiken aufweisen, so dass hierbei auf jeden Fall eine DSFA durchzuführen ist. Und u.a. werden dort Telefongespräch-Auswertungen durch Algorithmen oder auch Kundensupport mittels künstlicher Intelligenz aufgeführt.
Wenn du also zum Beispiel einen KI-Chat-Bot für deine Website oder ein Programm zur Auswertung von Gesprächsaufzeichnungen mit Kunden oder Bewerbern planst, dann unterliegst du automatisch auf datenschutzrechtlicher Ebene einer DSFA-Pflicht. Aber auch andere Einsatzzwecke von KI-Anwendungen können ein hohes Risiko für Betroffenen aufweisen, deren Daten damit verarbeitet werden sollen.
Achtung
Besondere Vorsicht bei sensiblen Daten mit Personenbezug
Auch mit dem Einsatz anderer KI-Anwendungen, wie etwa mit der Übersetzung eines Vertrages oder der Erstellung eines Gratulationsschreibens zum 10-jährigen Firmenjubiläum, können hohe Risiken verbunden sein. Das hängt jeweils vom konkreten Einsatzzweck, den verarbeiteten Daten sowie der genutzten KI ab. Insbesondere dann, wenn sehr sensible Daten mit Personenbezug, wie z.B. Angaben zur Gesundheit, Religion oder Gewerkschaftszugehörigkeit (vgl. Art. 9 Abs. 1 DSGVO), verarbeitet werden, ist in aller Regel ein hohes Risiko anzunehmen. Das gleiche gilt, wenn besonders viele (auch nicht-sensible) personenbezogene Daten verarbeitet werden (sog. Big-Data-Analysen).
